首页 >> 网络安全 >>极客新闻 >> Egregor勒索软件增加了数据泄漏趋势
详细内容

Egregor勒索软件增加了数据泄漏趋势

时间:2020-10-05     【转载】   阅读

周五发布的警报显示,使用Appgate的安全研究人员警告说,最近发现了一个名为Egregor的勒索软件变种,在过去的几个月中,该变种似乎已感染了全球十几个组织。


根据Appgate的警报,与Maze和Sodinokibi等其他勒索软件帮派一样,如果三天内未满足勒索要求,Egregor勒索软件背后的运营商将威胁泄漏受害者的数据。


与Egregor关联的网络犯罪分子也从Maze剧本中引出一页内容,并在暗网上创建了一个“新闻”网站,其中提供了已成为目标的受害者的列表,以及有关何时将发布被盗和加密数据的更新,根据警报(请参阅:Maze Ransomware Gang继续进行数据泄漏狂潮)。


“ Egregors的赎金通知书还说,除了在公司支付赎金的情况下解密所有文件之外,它们还将提供有关保护公司网络安全的建议,'帮助'它们避免再次遭到破坏,就像某种形式的行为。”戴黑帽的渗透测试小组”。


根据Appgate的说法,不确定Egregor背后的运营商索要多少赎金,或者是否有任何数据泄漏。网络上发布了一份赎金记录的副本,记录了网络犯罪分子计划通过他们所谓的“大众媒体”发布被盗数据。


当Appgate于周五向客户发布警报时,Egregor勒索软件变种首先是由几名独立安全研究人员(例如Michael Gillespie)在9月中旬发现的,他在Twitter上发布了勒索票据的样本。


打破,新的#Sekhmet #Ransomware(分拆?)自称#Egregor。扩展名是随机的,但具有XOR文件标记。仍请注意带有新站点的“ RECOVER-FILES.txt”(https://t.co/hgsvJaoCr1)。pic.twitter.com/4Q3kdOapK7


我们的团队第一次对Egregor进行分析是在本周早些时候。我们没有具体说明它运行了多长时间,但似乎Egregor的首次公开露面是9月18日在Twitter上@ demonslay335和@PolarToffee,” Gustavo Appgate的安全研究员Palazolo告诉Information Security Media Group。“目前,'耻辱大厅'中仍然只有13家公司。”


避免检测

Appegate警报指出,Egregor变体似乎是另一种名为Sekhmet的勒索软件的衍生产品,该勒索软件也与犯罪团伙有联系,该犯罪团伙威胁说如果受害者不付款,将释放加密和被盗的数据(请参阅:更多勒索软件帮派威胁受害人数据泄漏)。


在检查某些版本的Egregor时,Appgate分析师指出,勒索软件包含多种类型的反分析技术,包括代码混淆和打包的有效载荷,这意味着恶意代码本身会在内存中“解包”,从而避免被安全工具检测到。 。


Appgate分析师还指出,如果没有正确的解密器密钥,就很难分析整个勒索软件有效载荷以了解有关恶意软件工作方式的更多详细信息。


“只有在进程的命令行中提供了正确的密钥时,才能解密Egregor有效负载,这意味着,如果攻击者使用与运行攻击程序相同的命令行,则无法手动或使用沙箱来分析文件。没有提供勒索软件。”


Palazolo指出,此时使用确切的解密器密钥会使更深入的分析更加困难。


“这意味着,如果分析人员或研究人员只能访问打包的文件,而又不知道在受影响的环境中如何启动打包的文件,则Egregor的有效负载无法解密,因此无法执行,” Parazolo说。


Palazolo说,Egregor赎金说明本身也不清楚细节,并且提供了关于恶意软件如何工作以及一旦支付赎金后其背后的操作员将如何解密文件的线索。


Palazolo说:“不幸的是,赎金记录或Egregor网站上没有详细信息。” “要获得付款细节,受害者需要导航到Egregor提供的深层Web链接,并通过实时聊天从攻击者那里获得指令,而我们尚未执行该聊天。”


数据泄漏威胁

虽然尚不确定与Egregor勒索软件攻击有关的任何数据已泄漏,但安全专家指出,更多的网络犯罪团伙正在使用此技术来迫使受害者付款或向他人发出警告。


BakerHostetler数字风险咨询和网络安全团队的共同负责人克雷格·霍夫曼(Craig Hoffman)律师在八月在纽约举行的ISMG虚拟网络安全峰会上发表讲话说,攻击者声称,在至少25%的勒索软件案件中,他的公司曾协助调查过不仅拥有加密锁定的系统,而且拥有被窃取的数据(请参阅:勒索软件帮派的无情导致更大的利润)。


8月,事件响应公司Coveware发布了一份报告,发现该公司在今年第二季度调查的数千个勒索软件案件中,有30%涉及攻击者威胁要发布被盗数据。

ots网络logo

OTS网络安全门户主要提供网络信息安全教程、文章、工具,让更多的小伙伴加入我们的社区一起学习。

技术支持: 建站ABC | 管理登录